-
09/04/2020
-
116
-
1.210 bài viết
Vault Viper tấn công iGaming, rủi ro trực tiếp với người chơi Việt Nam
Infoblox Threat Intelligence vừa hé lộ một chiến dịch nhắm vào ngành iGaming châu Á, nơi một nhóm đe dọa có tên Vault Viper sử dụng trình duyệt tùy chỉnh làm công cụ phân phối mã độc. Chiến dịch này kết nối trực tiếp hoạt động cá cược trực tuyến và tội phạm mạng có tổ chức, với mục tiêu chính là các trang đặt cược và người chơi dễ bị khai thác.
Trung tâm của chiến dịch là Universe Browser, một bản dựng Chromium bị chỉnh sửa do Baoying Group (BBIN) phát triển và phát tán. Trình duyệt được quảng bá như một giải pháp bảo mật và quyền riêng tư cho người chơi, hứa hẹn khả năng vượt tường lửa và truy cập các nền tảng cá cược tại những nơi cấm đánh bạc. Tuy nhiên phân tích kỹ thuật cho thấy phần mềm này chứa nhiều đặc tính của mã độc: điều hướng lưu lượng qua các proxy do kẻ tấn công kiểm soát, cài đặt các chương trình chạy nền có khả năng bền vững, và thao tác cấu hình mạng để thiết lập kênh liên lạc bí mật phục vụ đánh cắp thông tin.
Nền tảng cá cược trực tuyến hỗ trợ các hoạt động tội phạm
Phiên bản Windows của trình duyệt được phát tán dưới tên UB-Launcher.exe. Mẫu này triển khai các biện pháp chống phân tích tiên tiến, bao gồm kiểm tra môi trường máy ảo, sửa đổi registry Windows để duy trì tính bền vững, và thực hiện kỹ thuật tiêm mã vào các tiến trình hệ thống như IEXPLORE.EXE. Những hành vi này phù hợp với mẫu hoạt động của các stealer thông tin và trojan truy cập từ xa.
Khi được chạy, Universe Browser cài đặt vào thư mục tương tự của trình duyệt Chrome chính chủ, thay thế các nhị phân và vô hiệu hóa một số cơ chế bảo vệ của Chrome như sandbox và công cụ dành cho nhà phát triển. Trình duyệt sau đó nạp các extension tùy chỉnh có tên Screenshot và lineSelector, những extension này giám sát và tương tác với các miền liên quan đến cá cược, mã hóa và truyền dữ liệu cùng các ảnh chụp màn hình về hạ tầng từ xa thuộc về cơ sở hạ tầng Vault Viper.
Thành phần mạng cốt lõi của trình duyệt là một nhị phân quản lý proxy có tên UBService.exe. Nhị phân này điều phối định tuyến qua proxy, lưu trữ bản ghi được mã hóa trong các cơ sở dữ liệu SQLite cục bộ, và xử lý cập nhật bằng cách kết nối tới các tên miền command-and-control với khóa mật mã được mã hóa cứng. Cấu trúc này cho phép truy cập thiết bị bền vững và tạo điều kiện cho việc khai thác quy mô lớn.
Hệ sinh thái tội phạm phía sau Vault Viper không chỉ dừng ở phần mềm. Mạng lưới của nhóm trải ra hàng nghìn tên miền liên quan đến cá cược và gian lận, gia cố bằng hạ tầng BBIN đặt tại Philippines và Đài Loan, đồng thời che giấu qua các công ty vỏ bọc ở nhiều quốc gia. Nhóm sử dụng máy chủ đặt trên các nhà cung cấp đám mây phương Tây, thiết lập peering ASN riêng và quản lý DNS phân tán để chóng dịch chuyển tên miền, tăng độ bền trước các hành động thực thi.
Mô hình đơn giản hóa của phần mềm rủi ro Vault Viper
Universe Browser còn được phân phối qua các trang casino bất hợp pháp như Bolai Casino và trên nền tảng di động. Phiên bản di động yêu cầu nhiều quyền quá mức và khóa thiết bị đã root để chống phân tích, cho thấy ý đồ bảo vệ hạ tầng tội phạm khỏi việc bị phát hiện và tháo gỡ.
Bên cạnh việc tấn công và thu thập dữ liệu người dùng, chiến dịch được mô tả còn phục vụ cho một chuỗi rửa tiền tinh vi. Dữ liệu và thông tin thanh toán bị đánh cắp từ người chơi được tích hợp vào hoạt động tội phạm lớn hơn, liên kết với các tổ chức cờ bạc bất hợp pháp, trong đó có mối liên hệ nêu tới Suncity Group và nhân vật lãnh đạo bị kết án Alvin Chau, theo phân tích của Infoblox.
Chiến dịch Vault Viper không chỉ là mối đe dọa với người chơi ở châu Á mà còn có nguy cơ lan sang Việt Nam, nơi nhiều người truy cập các trang cá cược nước ngoài hoặc cài đặt phần mềm từ nguồn không chính thức. Universe Browser được chỉnh sửa để theo dõi, đánh cắp thông tin và thiết lập cửa sau lâu dài, khiến dữ liệu tài khoản, mật khẩu và giao dịch tài chính của người dùng dễ bị khai thác. Để phòng tránh rủi ro, người dùng cần tránh cài đặt trình duyệt hoặc ứng dụng từ các trang casino bất hợp pháp, gỡ bỏ phần mềm nghi ngờ, bật xác thực hai yếu tố, kiểm tra quyền ứng dụng di động và giám sát mọi giao dịch tài chính. Chiến dịch này một lần nữa nhắc nhở về tầm quan trọng của thói quen bảo mật cơ bản và cảnh giác với các nền tảng iGaming không rõ nguồn gốc, bởi một lần truy cập sai có thể mở cửa cho tội phạm mạng và gây thiệt hại lâu dài.
Trung tâm của chiến dịch là Universe Browser, một bản dựng Chromium bị chỉnh sửa do Baoying Group (BBIN) phát triển và phát tán. Trình duyệt được quảng bá như một giải pháp bảo mật và quyền riêng tư cho người chơi, hứa hẹn khả năng vượt tường lửa và truy cập các nền tảng cá cược tại những nơi cấm đánh bạc. Tuy nhiên phân tích kỹ thuật cho thấy phần mềm này chứa nhiều đặc tính của mã độc: điều hướng lưu lượng qua các proxy do kẻ tấn công kiểm soát, cài đặt các chương trình chạy nền có khả năng bền vững, và thao tác cấu hình mạng để thiết lập kênh liên lạc bí mật phục vụ đánh cắp thông tin.
Khi được chạy, Universe Browser cài đặt vào thư mục tương tự của trình duyệt Chrome chính chủ, thay thế các nhị phân và vô hiệu hóa một số cơ chế bảo vệ của Chrome như sandbox và công cụ dành cho nhà phát triển. Trình duyệt sau đó nạp các extension tùy chỉnh có tên Screenshot và lineSelector, những extension này giám sát và tương tác với các miền liên quan đến cá cược, mã hóa và truyền dữ liệu cùng các ảnh chụp màn hình về hạ tầng từ xa thuộc về cơ sở hạ tầng Vault Viper.
Thành phần mạng cốt lõi của trình duyệt là một nhị phân quản lý proxy có tên UBService.exe. Nhị phân này điều phối định tuyến qua proxy, lưu trữ bản ghi được mã hóa trong các cơ sở dữ liệu SQLite cục bộ, và xử lý cập nhật bằng cách kết nối tới các tên miền command-and-control với khóa mật mã được mã hóa cứng. Cấu trúc này cho phép truy cập thiết bị bền vững và tạo điều kiện cho việc khai thác quy mô lớn.
Hệ sinh thái tội phạm phía sau Vault Viper không chỉ dừng ở phần mềm. Mạng lưới của nhóm trải ra hàng nghìn tên miền liên quan đến cá cược và gian lận, gia cố bằng hạ tầng BBIN đặt tại Philippines và Đài Loan, đồng thời che giấu qua các công ty vỏ bọc ở nhiều quốc gia. Nhóm sử dụng máy chủ đặt trên các nhà cung cấp đám mây phương Tây, thiết lập peering ASN riêng và quản lý DNS phân tán để chóng dịch chuyển tên miền, tăng độ bền trước các hành động thực thi.
Mô hình đơn giản hóa của phần mềm rủi ro Vault Viper
Bên cạnh việc tấn công và thu thập dữ liệu người dùng, chiến dịch được mô tả còn phục vụ cho một chuỗi rửa tiền tinh vi. Dữ liệu và thông tin thanh toán bị đánh cắp từ người chơi được tích hợp vào hoạt động tội phạm lớn hơn, liên kết với các tổ chức cờ bạc bất hợp pháp, trong đó có mối liên hệ nêu tới Suncity Group và nhân vật lãnh đạo bị kết án Alvin Chau, theo phân tích của Infoblox.
Chiến dịch Vault Viper không chỉ là mối đe dọa với người chơi ở châu Á mà còn có nguy cơ lan sang Việt Nam, nơi nhiều người truy cập các trang cá cược nước ngoài hoặc cài đặt phần mềm từ nguồn không chính thức. Universe Browser được chỉnh sửa để theo dõi, đánh cắp thông tin và thiết lập cửa sau lâu dài, khiến dữ liệu tài khoản, mật khẩu và giao dịch tài chính của người dùng dễ bị khai thác. Để phòng tránh rủi ro, người dùng cần tránh cài đặt trình duyệt hoặc ứng dụng từ các trang casino bất hợp pháp, gỡ bỏ phần mềm nghi ngờ, bật xác thực hai yếu tố, kiểm tra quyền ứng dụng di động và giám sát mọi giao dịch tài chính. Chiến dịch này một lần nữa nhắc nhở về tầm quan trọng của thói quen bảo mật cơ bản và cảnh giác với các nền tảng iGaming không rõ nguồn gốc, bởi một lần truy cập sai có thể mở cửa cho tội phạm mạng và gây thiệt hại lâu dài.
Theo Cyber Press